Le fonctionnement de Pegasus, le logiciel espion

Selon les derniers chiffres, plus de 50 000 numéros de téléphone figurent parmi les cibles potentielles de Pegasus, le logiciel d’espionnage de Smartphone de la société israélienne NSO. Le consortium Forbidden Stories a déclaré que cette affaire concerne la sphère politique française, car le logiciel aurait été utilisé pour espionner les Smartphones de hautes personnalités étatiques, de membres du gouvernement et de personnalités politiques. Comment fonctionne-t-il vraiment ? Voici quelques informations sur ce logiciel et l’infrastructure utilisée, selon le rapport du security lab d’Amnesty International.

Un logiciel doté de fonctionnalités sophistiquées

Globalement, Pegasus permet d’accéder à l’ensemble du contenu du Smartphone d’une personne, notamment ses courriels, ses photos, ses notes, etc. à partir d’un simple numéro de téléphone. Dans son rapport en 2016, Lookout indique que le logiciel d’espionnage utilise les vulnérabilités de type zero-day, le chiffrement et la modification de code de manière très avancée. Il mise sur des fonctions sophistiquées pour contourner la sécurité des systèmes d’exploitation iOS et Android. Il agit de même sur les solutions de messagerie et de courriers électroniques intégrés d’Apple, et sur diverses applications comme Facebook, Facetime, Gmail, Telegram, Viber, WhatsApp et WeChat.

Une attaque par injection réseau

Traquant Pegasus depuis plusieurs années, l’ONG a révélé l’existence de quelques traces de spyware selon des recherches récentes. Ces dernières ont notamment été retrouvées sur le Smartphone d’un opposant marocain. En réalisant une recherche sur Yahoo, une adresse de redirection a été automatiquement générée. L’URL correspondait à une trace liée à la société d’informatique NSO. Selon Security Lab, l’intégration du logiciel dans le Smartphone s’est faite par une intrusion via directement un opérateur mobile ou une station de base corrompue. Les chercheurs de l’Amnesty International ont aussi trouvé un processus suspect nommé « bh » enregistré dans les 2 bases de données SQLite qui sont présentes dans iOS. En considérant les travaux menés par Lookout, ils pensent que « bh » fait référence à Bridge Head, un nom de module de Pegasus chez NSO Group. En réalité, ce composant a pour rôle de préparer le terrain pour l’installation du logiciel d’espionnage.

Une exploitation des failles critiques et des infrastructures Cloud

Le NSO Group s’appuie aussi sur l’exploitation de failles critiques dans les OS mobiles ou certaines applications en mode zéro clic pour intégrer le logiciel d’espionnage Pegasus. Cela signifie que l’intervention de l’utilisateur de l’appareil n’est pas nécessaire. Cela a été le cas sur iMessage et Facetime. Les vulnérabilités de ces applications ont été exploitées pour installer Pegasus sur des terminaux. Apple Music s’avère aussi être un vecteur de compromission. Les enquêtes de l’ONG ont également montré que NSO Group s’appuie sur l’offre AWS CloudFront ou CDN pour lancer les premières attaques. Suite à cela, le fournisseur de Cloud a réagi et a annoncé la fermeture des infrastructures et des comptes concernés, dans son communiqué. Par ailleurs, l’ONG a constaté que NSO Group héberge ses serveurs dans plusieurs data centers européens gérés par des opérateurs américains, pour déployer leurs attaques.